我的安卓应用程序包含使用Twitter API的OAuth消费者密钥。目前,它以明文形式在.properties
文件中,因此某人可以零力量查找APK。
我应该采取措施来混淆它(例如,rot13或存储在混淆的Java代码中)吗?还是实际上应该避免这样做,因为它会产生虚假的安全感?
人们通常如何分发/存储Android应用程序中的OAuth密钥?秘钥被盗和滥用的情况有多常见?
我的安卓应用程序包含使用Twitter API的OAuth消费者密钥。目前,它以明文形式在.properties
文件中,因此某人可以零力量查找APK。
我应该采取措施来混淆它(例如,rot13或存储在混淆的Java代码中)吗?还是实际上应该避免这样做,因为它会产生虚假的安全感?
人们通常如何分发/存储Android应用程序中的OAuth密钥?秘钥被盗和滥用的情况有多常见?
为了在Android应用程序中隐藏OAuth秘密密钥,您可以使用我们开发的gradle插件。它是Dexguard的免费开源替代品。我们的hidden-secrets-gradle-plugin使用NDK和XOR运算符来混淆密钥以防止反向工程。
您可以选择提供自定义编码/解码算法以提高密钥的安全性。
访问插件和所有详细信息:https://github.com/klaxit/hidden-secrets-gradle-plugin